GDPR Artikel 32 anger behovet för organisationer att genomföra olika åtgärder som uppnår en adekvat säkerhetsnivå i hela sin databehandlingsverksamhet.
För att uppnå detta måste organisationer ta hänsyn till:
Säkerhet för bearbetning
- Med hänsyn till den senaste tekniken, kostnaderna för genomförandet och behandlingens art, omfattning, sammanhang och syften samt risken för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter, ska den registeransvarige och registerföraren genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken, inklusive bland annat när så är lämpligt:
- Pseudonymisering och kryptering av personuppgifter.
- Förmågan att säkerställa den pågående konfidentialitet, integritet, tillgänglighet och motståndskraft för bearbetningssystem och tjänster.
- Möjligheten att återställa tillgängligheten och tillgången till personuppgifter i rätt tid i händelse av en fysisk eller teknisk incident.
- En process för att regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten i behandlingen.
- Vid bedömningen av lämplig säkerhetsnivå ska hänsyn särskilt tas till de risker som behandlingen medför, särskilt från oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller tillgång till personuppgifter som överförs, lagras eller på annat sätt behandlas.
- Efterlevnad av en godkänd uppförandekod enligt artikel 40 eller en godkänd certifieringsmekanism enligt artikel 42 kan användas som ett element för att visa överensstämmelse med kraven i punkt 1 i denna artikel.
- Den personuppgiftsansvarige och registerföraren ska vidta åtgärder för att säkerställa att varje fysisk person som agerar under den registeransvariges eller registerförarens överinseende som har tillgång till personuppgifter inte behandlar dem annat än på instruktioner från den registeransvarige, såvida han eller hon inte är skyldig att göra det enligt Unionens eller medlemsstaternas lagstiftning.
Säkerhet för bearbetning
- Med hänsyn till den senaste tekniken, kostnaderna för genomförandet och behandlingens art, omfattning, sammanhang och syften samt risken för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter, ska den registeransvarige och registerföraren genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken, inklusive bland annat när så är lämpligt:
- Pseudonymisering och kryptering av personuppgifter.
- Förmågan att säkerställa den pågående konfidentialitet, integritet, tillgänglighet och motståndskraft för bearbetningssystem och tjänster.
- Möjligheten att återställa tillgängligheten och tillgången till personuppgifter i rätt tid i händelse av en fysisk eller teknisk incident.
- En process för att regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten i behandlingen.
- Vid bedömningen av lämplig säkerhetsnivå ska hänsyn särskilt tas till de risker som behandlingen medför, särskilt från oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller tillgång till personuppgifter som överförs, lagras eller på annat sätt behandlas.
- Efterlevnad av en godkänd uppförandekod enligt artikel 40 eller en godkänd certifieringsmekanism enligt artikel 42 kan användas som ett element för att visa överensstämmelse med kraven i punkt 1 i denna artikel.
- Den personuppgiftsansvarige och registerföraren ska vidta åtgärder för att säkerställa att varje fysisk person som agerar under den registeransvariges eller registerförarens överinseende som har tillgång till personuppgifter inte behandlar dem annat än på instruktioner från den registeransvarige, såvida han eller hon inte är skyldig att göra det enligt inhemsk lag.
Sedan migreringen har vi kunnat minska tiden för administration.
GDPR artikel 32 uppmanar organisationer att ta en riskbaserad strategi för databehandling som tar hänsyn till flera nyckelvariabler:
Organisationer måste genomgå en kartläggningsövning som listar både interna och externa faktorer relaterade till implementeringen av ett PIMS.
Organisationen måste kunna förstå hur den ska uppnå sina resultat för integritetsskydd, och alla problem som står i vägen för att skydda PII bör identifieras och åtgärdas.
Innan organisationer försöker ta itu med integritetsskydd och implementera en PII måste de först få en förståelse för sina skyldigheter som en enskild eller gemensam PII-kontrollant och/eller processor.
Detta inkluderar:
ISO rekommenderar en grundlig omfattningsövning, så att organisationer kan ta fram ett PIMS som först uppfyller dess krav på integritetsskydd och för det andra inte kryper in på områden i verksamheten som inte behöver uppmärksamhet.
Organisationer bör upprätta och dokumentera:
Alla scopingövningar som kartlägger en PIMS-implementering bör inkludera en grundlig bedömning av PII-bearbetning och lagringsaktiviteter.
Organisationer bör sträva efter att implementera, hantera och optimera ett Privacy Information Management System (PIMS), i linje med publicerade ISO-standarder.
Organisationer bör kartlägga och implementera en process för riskbedömning av integritetsskydd som:
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!
Organisationer bör utarbeta och implementera en "riskbehandlingsprocess" för integritetsskydd/PII som:
Programsäkerhetsprocedurer bör utvecklas tillsammans med bredare integritetsskyddspolicyer, vanligtvis via en strukturerad riskbedömning som tar hänsyn till flera variabler.
Programsäkerhetskrav bör inkludera:
Transaktionstjänster som underlättar flödet av integritetsdata mellan organisationen och en tredjepartsorganisation, eller partnerorganisation, bör:
För alla ansökningar som involverar elektronisk beställning och/eller betalning bör organisationer:
När man tar itu med säkerhet inom leverantörsrelationer bör organisationer se till att båda parter är medvetna om sina skyldigheter gentemot integritetsinformationssäkerhet och varandra.
När de gör det bör organisationerna:
Organisationer bör också upprätthålla en register över avtal, som listar alla avtal som hålls med andra organisationer.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
I det här avsnittet talar vi om GDPR-artiklarna 32 (1)(b), 32 (1)(d), 32 (2)
Organisationer bör utveckla processer som tillgodoser oberoende granskning av deras sekretessinformationssäkerhetspraxis, inklusive både ämnesspecifika policyer och allmänna policyer.
Granskningar bör utföras av:
Granskningar bör vara oberoende och utföras av individer med tillräcklig kunskap om riktlinjer för integritetsskydd och organisationens egna rutiner.
Granskare bör fastställa huruvida sekretessinformationssäkerhetspraxis är förenlig med organisationens "dokumenterade mål och krav".
Förutom strukturerade periodiska granskningar kan organisationer stöta på behovet av att utföra ad hoc granskningar som utlöses av vissa händelser, inklusive:
Organisationer måste säkerställa att personalen kan granska integritetspolicyer över hela spektrumet av affärsverksamhet.
Ledningen bör utveckla tekniska metoder för rapportering om integritetsefterlevnad (inklusive automatisering och skräddarsydda verktyg). Rapporter bör registreras, lagras och analyseras för att ytterligare förbättra PII-säkerhet och integritetsskydd.
När efterlevnadsproblem upptäcks bör organisationer:
Det är mycket viktigt att vidta korrigerande åtgärder så snart som möjligt. Om problemen inte är helt lösta vid tidpunkten för nästa granskning, bör åtminstone bevis tillhandahållas som visar att framsteg görs.
Istället för att jämställa all information bör organisationen klassificera information på en ämnesspecifik basis.
Informationsägare bör överväga fyra nyckelfaktorer, när de klassificerar data (särskilt när det gäller PII), som bör granskas regelbundet, eller när sådana faktorer ändras:
För att ge ett tydligt operativt ramverk bör informationskategorier namnges i enlighet med den inneboende risknivån om det skulle inträffa incidenter som äventyrar någon av ovanstående faktorer.
För att säkerställa plattformsoberoende kompatibilitet bör organisationer göra sina informationskategorier tillgängliga för extern personal som de delar information med, och se till att organisationens eget klassificeringssystem förstås allmänt av alla relevanta parter.
Organisationer bör vara försiktiga med att antingen underklassificera eller, omvänt, överklassificera data. Det förstnämnda kan leda till misstag vid gruppering av PII med mindre känsliga datatyper, medan det förra ofta leder till extra kostnader, större risk för mänskliga fel och bearbetningsavvikelser.
När organisationer utvecklar policyer som styr hanteringen av mediatillgångar som är involverade i lagring av PII, bör organisationer:
Vid återanvändning, återanvändning eller kassering av lagringsmedia bör robusta procedurer införas för att säkerställa att PII inte påverkas på något sätt, inklusive:
Om enheter som har använts för att lagra PII skadas, bör organisationen noggrant överväga om det är lämpligare att förstöra sådana media eller inte, eller skicka det för reparation (fel på sidan av det förstnämnda).
ISO varnar organisationer för att använda okrypterade lagringsenheter för vilken som helst PII-relaterade aktiviteter.
Jag skulle verkligen rekommendera ISMS.online, det gör att konfigurera och hantera ditt ISMS så enkelt som det kan bli.
Se avsnittet ovan om ISO 27701 klausul 6.5.3.1
Om media ska kasseras den tidigare innehade PII, bör organisationer implementera procedurer som dokumenterar förstörelsen av PII och integritetsrelaterad data, inklusive kategoriska försäkringar om att den inte längre är tillgänglig.
Organisationer bör använda kryptering för att skydda konfidentialitet, äktheten och integritet av PII och integritetsrelaterad information, och för att följa deras olika kontraktuella, juridiska eller regulatoriska skyldigheter.
Kryptering är ett långtgående koncept – det finns ingen "one size fits all"-metod. Organisationer bör bedöma sina behov och välja en kryptografisk lösning som uppfyller deras unika kommersiella och operativa mål.
Organisationer bör överväga:
Nyckelhanteringsprocedurer bör vara fördelade på 7 huvudfunktioner:
Organisatoriska nyckelhanteringssystem bör:
Organisationer bör utarbeta ämnesspecifika policyer som direkt tar upp hur organisationen backar upp de relevanta områdena i sitt nätverk för att skydda PII och förbättra motståndskraften mot integritetsrelaterade incidenter.
BUDR-förfaranden bör utarbetas för att uppnå det primära målet att säkerställa detta alla affärskritiska data, mjukvara och system kan återställas följande dataförlust, intrång, avbrott i verksamheten och kritiska misslyckanden.
Som en prioritet bör BUDR-planer:
Organisationer måste utveckla separata procedurer som enbart handlar om PII (även om de ingår i deras huvudsakliga BUDR-plan).
Regionala avvikelser i PII BUDR-standarder (kontraktuella, juridiska och regulatoriska) bör beaktas när ett nytt jobb skapas, jobb ändras eller ny PII-data läggs till i BUDR-rutinen.
Närhelst behovet uppstår för att återställa PII efter en BUDR-incident, bör organisationer vara mycket noga med att återställa PII till dess ursprungliga tillstånd och granska återställningsaktiviteter för att lösa eventuella problem med den nya datan.
Organisationer bör föra en logg över återställningsaktiviteter, inklusive all personal som är involverad i återställningen, och en beskrivning av PII som har återställts.
Organisationer bör kontrollera med alla lagstiftande eller tillsynsmyndigheter och se till att deras PII-återställningsprocedurer är i linje med vad som förväntas av dem som PII-behandlare och registeransvarig.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Vi kan inte komma på något företag vars tjänst kan hålla ett ljus till ISMS.online.
Organisationer måste först identifiera och då post de specifika skälen för att behandla PII som de använder.
PII-huvudmän måste vara fullt insatta i alla olika anledningar till varför deras PII bearbetas.
Det är organisationens ansvar att förmedla dessa skäl till PII-huvudmän, tillsammans med ett "tydligt uttalande" om varför de behöver behandla sin information.
All dokumentation måste vara tydlig, heltäckande och lätt att förstå av alla PII-huvudmän som läser den – inklusive allt som rör samtycke, såväl som kopior av interna procedurer (se ISO 27701 paragraf 7.2.3, 7.3.2 och 7.2.8).
Organisationer måste antingen fullständigt förstöra alla PII som inte längre uppfyller ett syfte, eller modifiera dem på ett sätt som förhindrar någon form av principiell identifiering.
Så snart organisationen konstaterar att PII inte behöver behandlas någon gång i framtiden bör informationen raderade or de identifierade, som omständigheterna föreskriver.
Från början bör PII endast behandlas i enlighet med kundens instruktioner.
Kontrakt bör innehålla SLA som hänför sig till ömsesidiga mål, och eventuella tillhörande tidsskalor som de behöver slutföras inom.
Organisationer bör erkänna sin rätt att välja de distinkta metoder som används för att behandla PII, som lagligen uppnår det kunden söker, men utan att behöva få detaljerade tillstånd om hur organisationen går till väga på en teknisk nivå.
GDPR-artikel | ISO 27701 klausul | ISO 27002 kontroller |
---|---|---|
EU GDPR artikel 32 (3) | 5.2.1 | Ingen |
EU GDPR artikel 32 (2) | 5.2.3 | Ingen |
EU GDPR artikel 32 (2) | 5.2.4 | Ingen |
EU GDPR artiklarna 32 (1) (b) och 32 (2) | 5.4.1.2 | Ingen |
EU GDPR artikel 32 (1)(b) | 5.4.1.3 | Ingen |
EU GDPR artikel 32 (1)(a) | 6.11.1.2 | 5.17 8.2 8.5 |
EU GDPR artiklarna 32 (1) (b) och 32 (2) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU GDPR artiklarna 32 (1) (b), 32 (1) (d) och 32 (2) | 6.15.2.1 | Ingen |
EU GDPR artikel 32 (1)(d) och (32)(2) | 6.15.2.3 | Ingen |
EU GDPR artikel 32 (2) | 6.5.2.1 | Ingen |
EU GDPR artikel 32 (1)(a) | 6.5.3.1 | 5.14 |
EU GDPR artikel 32 (1)(a) | 6.5.3.3 | 5.14 |
EU GDPR artikel 32 (1)(a) | 6.7.1.1 | 5.31 8.24 |
EU GDPR artikel 32 (1)(c) | 6.9.3.1 | 5.30 8.1 8.10 |
EU GDPR artikel 32 (4) | 7.2.1 7.2.3 7.3.2 7.2.8 | Ingen |
EU GDPR artikel 32 (1)(a) | 7.4.5 | Ingen |
EU GDPR artikel 32 (4) | 8.2.2 | Ingen |
ISMS.online-plattformen har inbyggd vägledning vid varje steg i kombination med vår implementeringsmetod 'Adoptera, anpassa, lägg till' så att ansträngningen som krävs för att visa din inställning till GDPR minskar avsevärt. Du VILJA dra nytta av en rad kraftfulla tidsbesparande funktioner.
ISMS.online gör det också enkelt för dig att hoppa direkt in på din resa till GDPR-efterlevnad och att enkelt demonstrera en skyddsnivå som går utöver "rimligt", allt på en säker, alltid-på plats.
Ta reda på mer av boka en kort 30 minuters demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Upptäck det bästa sättet att uppnå framgång med ISMS
Få din gratis guide